Cerrar
InicioAzureAzure MFA: Acceso Condicional

Azure MFA: Acceso Condicional

Siguiendo con la serie de artículos sobre MFA (Azure: Configuración Inicial de Autenticación Multifactor (MFA)), hoy voy comentaros algo que me parece que está cogiendo mucho peso en las empresas: Acceso Condicional. Como sabéis, ahora mismo debemos proteger no sólo nuestros servidores, sino también cualquier dispositivo desde el cual tengamos acceso a nuestros datos corporativos. Pues bien, en Azure Active Directory tenemos la posibilidad de definir una serie condiciones para acceder a los servicios debemos cumplir una serie de requisitos previos.

Por ejemplo, si queremos acceder a SPO (SharePoint Online) podemos exigir que se cumpla o varias de las siguientes condiciones:

  • Requerir autenticación multifactor
  • Requerir que el dispositivo esté marcado como compatible (necesitamos Intune)
  • Requerir un dispositivo conectado a Azure AD híbrido (Azure AD Connect correctamente configurado)
  • Requerir aplicación cliente aprobada
  • Requerir una directiva de protección de aplicaciones

Antes de nada, os voy a mostrar una infografía que me ha costado lo suyo crearla y espero que sea fácil de entender:

De izquierda a derecha, el proceso es el siguiente:

  • Queremos iniciar sesión en las aplicaciones de Office 365 (Exchange, SharePoint, Teams, OneDrive, PowerBi, etc…)
  • Pasamos por la directiva de Acceso Condicional para  comprobar que cumplimos todo lo que se nos requiere:
    • Autenticación Multifactor
    • Estado de cumplimiento (Intune)
  • Si cumplimos todos los controles de acceso, podemos llegar a la derecha de todo donde tenemos los servicios a los que queríamos acceder.

Para dar cabida a esta definición de acceso condicional, os comento lo que vamos a necesitar previamente:

  • Licenciamiento: Azure Premium 1 + Intune o Enterprise Mobile Security E3 o E5
  • Cumplimiento: que el estado de cumplimiento sea el correcto y para ello, debemos cumplir con las políticas definidas desde Intune. Además, para esto, vamos a unir el equipo al Azure Active Directory.
  • Autenticación Multifactor: el usuario debe tener habilitada la autenticación multifactor

Objetivo: que los usuarios puedan acceder a las aplicaciones registradas en Azure AD si su equipo está en el dominio de Azure, el estado de cumplimiento correcto y además la autenticación multifactor. De esta forma, si un usuario intenta hacer login en otro equipo fuera del dominio de Azure o control de Intune, aunque complementos la autenticación multifactor no podría acceder a las aplicaciones.

Pues vamos a ello, estos son los pasos a seguir:

  1. Unir el equipo al dominio de AzureAD
  2. Definir las políticas de cumplimiento de Intune
  3. Configurar la directiva de Acceso Condicional

Unir el equipo al dominio de AzureAD: el proceso es muy sencillo, con un equipo con Windows 10 (1903) nos uniremos al dominio de Azure con la cuenta de usuario el cual utilizará dicho equipo. Comentaros que, para que los usuarios puedan registrar los equipos en AzureAD deben tener habilitado la autenticación multifactor. Esta configuración de exigir la autenticación multifactor para la inscripción de los equipos en Azure, nos vamos al AzureAd a la sección dispositivos:

Ahora en la sección Configuración del dispositivo podemos definir varias cosas:

  • Usuarios que puedan inscribir equipos en AzureAD
  • Si se añaden algunos usuarios como administradores locales a los equipos registrados en AzureAd, recordad que por defecto la cuenta de usuario que registra el equipo será administrador local
  • Requerir Multi-Factor Authentication para conectar dispositivos
  • Número máximo de dispositivos a registrar

Pues una vez establecida esta configuración, vamos a ver como podemos registrar nuestro equipo en el dominio de Azure AD. Antes de nada, recordaros que esto nos permite múltiples beneficios, aquí os dejo un enlace de MSFT al respecto: ¿Qué es una identidad de dispositivo?. El proceso es el siguiente, debemos acceder a la configuración del equipo y pulsamos en Cuentas:

En la sección de Obtener acceso a trabajo o escuela pulsamos en Conectar:

Escribimos el nombre de usuario con el que queremos registrar el equipo y pulsamos en Siguiente:

Introducimos la contraseña de la cuenta de usuario anteriormente especificada y pulsamos en Iniciar sesión

Como previamente hemos definido que requerimos autenticación multifactor para el registro de dispositivos, pues ahora mismo nos los está solicitando

Y si hemos cumplido correctamente la autenticación multifactor, nos indica si queremos unir el equipo al AzureAd de la organización, si es que sí, pulsamos en Unirse:

En cuestión de segundos ya tenemos el equipo registrado a nuestro AzureAD, pulsamos en Listo

Y ahora vemos que tenemos el equipo conectado al Azure AD de nuestra empresa, si pulsamos en Información

Podemos ver la información sobre nuestra organización

Ahora debemos cerrar la sesión de Windows actual y tratamos de iniciar sesión ya con las credenciales de AzureAD, debemos utilizar el inicio de sesión con el UPN correspondiente:

Pues con esto ya tenemos el equipo registrado en Azure, si buscamos el usuario en cuestión en Azure AD y vamos a la sección de dispostivos que tiene registrados a podemos ver este equipo que hemos unido al dominio de AzureAD. Si os fijáis, el estado de cumplimiento ahora mismo está en No conforme, esto es porque yo ya he configurado Intune para exigir el estado de cumplimiento con algunas directivas. En este caso requiero bitlocker habilitado.

No sé si lo sabéis, pero si tenéis registrado el equipo en AzureAD, las claves de recuperación de Bitlocker se guardarán en el dispositivo registrado como os muestro en la siguiente captura.

Dicho esto, vamos primero a habilitar Bitlocker en la unidad del sistema operativo, así podemos establecer a Ok el estado de cumplimiento. El proceso es muy sencillo, pulsamos con el botón secundario del ratón encima de la unidad de disco de sistema y pulsamos en Turn on Bitlocker:

Ahora indicamos como vamos a desbloquear la unidad de disco, yo he elegido que una contraseña, algo que nos pedirá cada vez que iniciemos el equipo.

Establecemos la contraseña que queramos (en base a las políticas de PIN o contraseña que tengamos configuradas) y pulsamos en Next:

Aquí viene uno de los primeros beneficios de tener el equipo registrado en AzureAD, puesto que podemos poder guardar las claves de recuperación de Bitlocker en nuestra cuenta de la nube y es lo que vamos a elegir:

En unos segundos nos indicará que se ha guardado dicha clave y ahora pulsamos en Next:

Elegimos como cifrará el disco, si el disco entero o sólo el espacio usado hasta el momento y pulsamos en Next 

Elegimos el modo de cifrado del disco

Si queremos haber un chequeo de acceso a las claves de recuperación marcamos dicha casilla, sino es así, pues no la marcamos y pulsamos en Continue para que se inicie el proceso de cifrado del disco.

Y ahora toca esperar el tiempo que le lleve el cifrado del espacio ocupado

Si ahora volvemos a revisar el dispositivo en AzureAD, ya podemos ver está conforme (cumplimiento)

Y si ahora volvemos a ver el dispositivo registrado, veremos que ya tenemos las claves de recuperación de Bitlocker disponibles:

Definir las políticas de cumplimiento de Intune: sólo os voy a mostrar las directivas de cumplimiento de Intune que afectan a este artículo, básicamente requiero tener el Bitlocker habilitado, pero podemos solicitar tener casi cualquier servicio disponible (Firewall, Antivirus, etc..)

Y que el estado de conformidad del dispositivo ahora está conforme con respecto a las políticas previamente definidas (hablaré de esto en otro artículo).

Configurar la directiva de Acceso Condicional: ahora definiremos una directiva de acceso condicional para garantizar que el usuario pueda conectarse a los servicios de Office 365 si cumple con las condiciones que os voy a mostrar ahora mismo.

Para crear una directiva de Acceso Condicional, tenemos acceder a dicha sección desde Azure AD y pulsamos en Nueva Directiva

Establecemos un nombre a dicha directiva …

Lo primero, definir a que usuarios afectará esta directiva, recomendado grupos pero en este caso para este artículo voy a escoger al usuario que estoy utilizando para estas pruebas.

Ahora definiremos las aplicaciones sobre las que configuraremos esta acceso condicional, podemos elegir una, varias o todas las aplicaciones.

Nota: En el próximo articulo explicaré esto con más detalle, porque hay aplicaciones dependientes entre si y es necesario entenderlo bien antes de poner nada en marcha.

Si elegimos sólo el Exchange veis como nos alerta de que esta directiva afectará también a OneDrive y Teams, lo dicho, en el próximo artículo lo explicaré, yo elegiré todas las aplicaciones en la nube.

Las directivas podemos filtradas en función de ciertas condiciones, en mi caso aplicaré el filtrado por plataforma, pero como vemos podemos definir por ubicaciones (rangos de direcciones IP de las sedes que tengamos), aplicaciones de cliente y estado del dispositivo.

Por último (por lo menos en este artículo), definiremos si concedemos o bloqueamos en el acceso a las aplicaciones seleccionadas previamente. Claramente lo que queremos es conceder acceso pero siempre que se cumplan los controles que seleccionemos:

  • Comprobación de MFA
  • Requerir que el dispositivo esté marcado como compatible

Por último, yo voy a obligar a que se tienen que cumplir todas las comprobaciones previas, pero podemos elegir que con que se cumpla una de ellas es suficiente, en mi caso exijo todo lo marcado.

Habilitamos la directiva  y  pulsamos en Crear, esto lo hago así porque está aplicada a un usuario, sino no la habilitaría de momento y me pasaría a la siguiente captura de pantalla donde chequemos la directiva (What If) y verificar que funcionará según lo esperado.

Igualmente, pulsamos en crear para finalizar el proceso.

Ya tenemos nuestra directiva de Acceso Condicional:

Como os comentaba unas líneas antes, tenemos la posibilidad de testear la directiva, para ello pulsamos en What If

Ahora elegimos la combinación de opciones que tenemos a continuación, pulsamos en What If y nos mostrará si bajo esas condiciones que directiva de acceso condicional se aplicará, en mi caso, como hemos visto se aplicará la creada ahora mismo

Ahora nos queda probar que todo funciona según lo esperado, la primera prueba, iniciar sesión desde un equipo diferente al registro por el usuario y … vemos que no nos permite conectarnos a pesar que haber iniciado sesión correctamente (Usuario y Contraseña + MFA):

Revisando los eventos de este inicio de sesión, se puede comprobar que no pasa la autenticación condicional porque el equipo no está registrado en el dominio de Azure, pero aquí lo vemos claramente:

No cumple porque el dispositivos no está unido al dominio de AzureAD

Si hemos iniciado sesión vía MFA correctamente

Aquí se aprecia fácilmente que no se cumple la directiva  de acceso condicional que nos aplica

Y en desde la pestaña Solución de problemas y soporte técnico vemos más claramente el porque no nos ha dejado acceder. 

Si ahora tratamos de iniciar sesión en el Exchange Online desde el equipo registrado en AzureAD .. vemos que nos contará perfectamente:

Para confirmar que realmente se ha aplicado la directiva de acceso condicional, podemos ver los inicios de sesión del usuario y vemos que se ha aplicado correctamente dicha directiva:

Como vemos tiene muchísima potencia y nos garantiza que sólo desde los equipos unidos al dominio, usuarios autenticados con MFA y que el equipo tiene el estado de cumplimiento solicitado nos podremos conectar a nuestros servicios corporativos.

Ahora, como siempre, os toca probarlo a vosotros!!

PD: En el próximo artículo recordad que hablaré sobre las dependencias entre aplicaciones y no tengamos “problemas” con el Acceso Condicional.

Azure: Configuració
Azure AD: Acceso Con
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This